Ciberseguridad 2025: El año en retrospectiva – Incidentes, tendencias, lecciones

1 min de lectura

2025 fue un año de regulación, de ataques impulsados por inteligencia artificial y de la constatación de que la ciberresiliencia no es un problema de TI, sino una responsabilidad de la dirección empresarial. DORA entró en vigor, se impusieron las primeras sanciones por incumplimiento de NIS2 y la IA transformó tanto los métodos de ataque como los de defensa.

En resumen

DORA en vigor desde enero de 2025: El sector financiero enfrenta los requisitos más estrictos del mundo en materia de resiliencia digital.
Ataques con IA escalados: Phishing, ingeniería social y desarrollo de exploits – todos más eficientes gracias a la IA generativa.
Cadena de suministro sigue siendo clave: Varios incidentes importantes provocados por software de terceros comprometido.
Estándares poscuánticos finalizados: Los algoritmos PQC del NIST son estándar desde agosto de 2024 – comienza la planificación de migración.
Grupos de ransomware bajo presión: Las acciones internacionales de las fuerzas del orden muestran efectividad – pero no hay motivo para bajar la guardia.

Regulación 2025: DORA, sanciones NIS2, Reglamento sobre IA

2025 fue, desde el punto de vista regulatorio, el año de ciberseguridad más denso de la historia de la UE. DORA ha sido plenamente aplicable desde enero y las primeras autoridades supervisoras ya han comenzado a realizar controles. NIS2 ha generado sus primeras sanciones en varios Estados miembros, principalmente por incumplimiento de los requisitos de notificación de incidentes.

El Reglamento sobre IA de la UE ha estado en vigor desde agosto de 2024. Los requisitos aplicables a los sistemas de IA de alto riesgo afectan también a las herramientas de ciberseguridad: la detección automática de anomalías basada en IA, el reconocimiento facial en sistemas de seguridad y el control de acceso automatizado están sujetos a exigencias rigurosas. Esto ha mantenido muy ocupadas a las áreas de cumplimiento normativo durante 2025.

Ataques 2025: La IA como multiplicador

La IA transformó el lado ofensivo en 2025: no mediante nuevos vectores de ataque, sino mediante una mejora de la eficiencia y una mayor capacidad de escalado. Las campañas de phishing que antes requerían semanas ahora se ejecutan en horas. Los ataques de clonación de voz han dejado de ser exclusivos de los grupos APT avanzados para convertirse en una herramienta habitual de la delincuencia organizada.

Los ataques a la cadena de suministro siguen siendo un patrón dominante: al menos dos grandes incidentes en 2025 se produjeron mediante software de proveedores externos comprometido, de forma similar al caso MOVEit de 2023. La concienciación sobre los riesgos derivados de terceros aumenta – pero la implementación efectiva de la gestión de riesgos de terceros sigue rezagada.

Perspectivas para 2026: Qué debe tener prioridad ahora

Iniciar la migración criptográfica: El inventario y la hoja de ruta para la criptografía poscuántica (PQC) son obligatorios en 2026 para todas las infraestructuras críticas. Quien quiera estar preparado para 2030 debe comenzar su migración en 2026.

Operaciones de seguridad con IA: Los SIEM impulsados por IA, las rutinas automáticas de búsqueda proactiva de amenazas (threat hunting) y la detección de anomalías basada en IA pasan en 2026 de ser una ventaja competitiva a convertirse en estándar. Quien aún no tenga previsto un SOC potenciado con IA quedará en desventaja frente a los atacantes.

La identidad como perímetro: Zero Trust Identity – llaves de acceso (passkeys), autenticación continua y confianza en el dispositivo – es el modelo de seguridad que sustituirá definitivamente en 2026 la antigua seguridad perimetral.

Gestionar la fatiga regulatoria: NIS2, DORA, Reglamento sobre IA, CRA – la carga de cumplimiento normativo sigue creciendo. Las empresas deben establecer enfoques integrados de GRC (Governance, Risk, Compliance), en lugar de tratar cada normativa de forma aislada.

Key Facts en un vistazo

Fecha de aplicación de DORA: Enero de 2025 – ya se están llevando a cabo los primeros controles de cumplimiento

Primeras sanciones NIS2: Varios Estados miembros de la UE impusieron sus primeras sanciones en 2025

Tasa de phishing impulsado por IA: Se estima que el 40 % de todos los correos electrónicos de phishing en 2025 fueron generados con IA

Finalización de los estándares PQC del NIST: Agosto de 2024 – la planificación de la migración en 2025/2026 es crítica

Pagos por ransomware en 2025: Descenso aproximado del 10 % gracias a las acciones de las fuerzas del orden (datos provisionales)

Dato: La Oficina Federal de Investigación Criminal (BKA) registró en su informe anual sobre ciberdelincuencia 2025 más de 136.000 casos de ciberdelincuencia en Alemania – un aumento del 12 % respecto al año anterior.

Dato: Según el Informe sobre el panorama de amenazas 2025 de ENISA, el ransomware siguió siendo el tipo de ataque más frecuente en la UE, con el 34 % de todos los incidentes notificados.

Preguntas frecuentes

¿Cuál fue el acontecimiento más relevante en ciberseguridad en 2025?

La entrada en vigor de DORA en enero de 2025 es el evento regulatorio más significativo. Desde el punto de vista técnico, los ataques a la cadena de suministro escalados mediante IA y los casos de fraude BEC (Business Email Compromise) con deepfakes de voz fueron los patrones más destacados.

¿Han tenido efecto disuasorio las sanciones NIS2?

Primeras señales: sí. Las tasas de notificación de incidentes de seguridad han aumentado en los sectores obligados a cumplir NIS2 – también porque las empresas saben que no notificar puede resultar más costoso que hacerlo. El impacto a largo plazo sobre el cumplimiento normativo aún es difícil de medir.

¿Ha ayudado más la IA o ha causado más daño (ataque frente a defensa)?

En el lado ofensivo: ganancia de eficiencia en phishing, ingeniería social y escaneo de vulnerabilidades. En el lado defensivo: mejor detección de anomalías y análisis más rápido de la inteligencia sobre amenazas. El efecto neto sigue siendo incierto – pero las empresas sin IA en sus capacidades defensivas tienen una desventaja creciente.

¿Qué debería priorizar un CISO para 2026?

Tres prioridades: 1. Elaborar un inventario y una hoja de ruta para la criptografía poscuántica (PQC). 2. Ampliar la seguridad centrada en la identidad (passkeys, autenticación continua). 3. Planificar y presupuestar un SOC potenciado con IA. Además: integrar los requisitos regulatorios en un marco GRC (Governance, Risk, Compliance) integrado.

¿Se han debilitado realmente los grupos de ransomware en 2025?

Las acciones de las fuerzas del orden contra LockBit, AlphV/BlackCat y otros tuvieron un efecto inmediato – infraestructura fuera de servicio, detenciones. Pero el ecosistema RaaS (Ransomware-as-a-Service) es resiliente: surgen nuevos grupos y los afiliados cambian de plataforma. A largo plazo, la prevención y la resiliencia son más importantes que confiar en los éxitos de la persecución penal.